Data breach di PA e imprese: i risultati a cui gli esperti non riescono ad abituarsi

Negli ultimi dodici mesi l’Italia è stata oggetto di diversi attacchi informatici provenienti dall’interno dei confini nazionali e anche dall’esterno. È una situazione conclamata che, per essere risolta, necessità di tempo e infrastrutture, ma può essere trattata a partire dalla quotidianità di realtà organizzative complesse come imprese e pubbliche amministrazioni.

La cyber security sta evolvendo per garantire strumenti e metodi di gestione delle minacce che siano sempre più efficaci e orientate alla protezione dei dati più che alla protezione dei sistemi. Questo cambiamento si percepisce fortemente quando si analizzano i risultati dei data breach, ossia quando si esaminano le conseguenze degli attacchi informatici: password a bassa complessità, server non aggiornati, dati non protetti, portali web fallati sono purtroppo una quotidianità a cui i tecnici e gli esperti di sicurezza non riescono ad abituarsi. È opportuno quindi procedere con metodo per capire quale sia il contesto di minaccia a cui si è esposti e, per ciascuno dei contesti, provare a dare un approccio metodologico teso a proteggere i dati.

 

Minacce sincrone e asincrone

Cominciamo con il dire che le minacce informatiche possono essere classificate in due macro-categorie: sincrone e asincrone. Una minaccia informatica sincrona è, ad esempio, l’attacco che da un paese viene lanciato ai danni di un altro; è un fenomeno ricorrente, quotidiano, che conta milioni di occorrenze. È definita “sincrona” perché l’attacco viene eseguito e consumato in tempo reale e la struttura attaccata deve far leva su tutte le risorse a disposizione per difendersi. Questa tipologia di attacchi sta spingendo l’Europa ad innalzare il perimetro cibernetico, per evitare che aziende e pubbliche amministrazioni siano bloccate nella loro operatività con danni per svariate migliaia di euro.

La seconda macro-categoria di minaccia è asincrona, poiché vi è un tempo di latenza tra il rilascio della minaccia e l’effettiva attivazione della stessa. Un esempio classico è rappresentato dai virus che, negli ultimi cinque anni, stanno imperversando all’interno delle caselle email e PEC di organizzazioni e istituzioni mondiali. Al momento i virus più minacciosi sono i ransomware: in grado di cifrare file e documenti, cancellando poi l’originale ed impedendo all’utente di accedervi salvo pagamento di riscatti piuttosto esosi.

 

I dati: il vero patrimonio aziendale

L’Italia, come gran parte del resto del mondo, si trova a dover fronteggiare queste due tipologie di minaccia che, seppur molto differenti, hanno qualcosa in comune: entrambe sono orientate ad attaccare i dati poiché questi sono il valore economico di un’azienda. Le soluzioni tecnologiche messe in campo dai produttori software non sempre riescono a proteggere e schermare i soggetti da questo tipo di rischi e la perdita dei dati, nel frattempo, è diventato un danno inaccettabile al punto di essere sanzionato dal legislatore. Lo stesso GDPR stabilisce implicitamente che qualsiasi soggetto s’incarichi di trattare dati personali deve avere una struttura tecnologica e organizzativa adeguata per poterlo fare.

 

Il “clima” giusto

Proteggere il dato diviene quindi una priorità che non è possibile delegare ad un software o ad un apparato hardware: richiede l’assunzione di responsabilità ben precise che possono essere affrontate solo con conoscenza e competenza. L’analisi d’impatto (altresì denominata DPIAData Protection Impact Analysis) rientra in questo clima di consapevolezza in cui l’organizzazione non è più all’oscuro di come si muovono i flussi dati internamente ai sistemi informativi, ma domina la situazione e la organizza per favorire un perimetro lavorativo sicuro. La sicurezza informatica assume un ruolo di rilievo e fonda le basi sulla capacità di discernere il tipo di minaccia e di conseguenza reagire ad essa in modo tempestivo e coerente.

Ecco quindi che la formazione diviene una funzione primaria nella vita dei professionisti, assieme ad un’opportuna sensibilizzazione nei riguardi del mantenimento di un ambiente informatico sicuro.

 

L’importanza di conoscere il “valore” dei propri dati

C’è da considerare anche un effetto di asimmetria negli attacchi informatici: spesso la tipologia di attacco appare non proporzionata al valore dei dati gestiti dalla vittima. Ad esempio, sono numerosi i casi di piccole aziende afflitte da virus molto elaborati; questo aspetto, tuttavia, non deve essere inteso in ottica “positiva”, ma come un elemento di attenzione. Significa, in sostanza, che qualsiasi sia il valore dei dati in proprio possesso, l’attacco potrà essere particolarmente virulento e di difficile gestione/risoluzione e non si potrà contare sulla “semplicità” del virus o del sistema informativo che, in alcun luogo, dovrà rimanere sguarnito di aggiornamenti tecnici e adeguate misure organizzative.

Questo aspetto, tra le altre cose, porta con sé una normale difficoltà di stimare il valore dei dati che viaggiano all’interno del sistema informativo dell’organizzazione. La domanda cruciale “quanto valgono i miei dati economicamente? trova spesso risposta nella presentazione del fatturato annuale. I dati, tuttavia, hanno un valore diretto che è quello imputabile al monte economico movimentato dall’organizzazione e un valore indiretto ottenuto dall’aggregazione degli stessi con altri set informativi. Lo sanno molto bene le società di social media marketing che hanno imparato come l’unione di più set di dati possano portare ad avere risultati più precisi su abitudini e tendenze dei consumatori. Allo stesso modo l’analisi dei set di dati gestiti all’interno dell’azienda può rivelare il valore indiretto degli stessi e spingere l’organizzazione ad una migliore protezione. Ecco perché il GDPR ha normalizzato la conoscenza e la formalizzazione di tutti i flussi informativi che riguardano i dati personali, con lo scopo di render noti all’organizzazione tutti quei processi coinvolti nel trattamento, anche se apparentemente di poco conto.

 

L’“arma” giusta

In conclusione, ci troviamo di fronte ad un periodo di profondo cambiamento anche in ambito di cyber security: non più aggredibile solo a livello software, ma attraverso strumenti ben più efficaci, se possibile, quali la consapevolezza e la conoscenza delle minacce. È il caso di dire che la prevenzione è la prima arma per evitare di incorrere in problematiche tecniche e sanzioni amministrative, in un contesto in cui la sinergia verso la protezione dei dati è l’unica arma veramente valida per tentare di evitare e mitigare i danni di un data breach.

 

Vi ricordiamo che Edoardo Limone è tra i docenti del Mastercourse ANORC: si occuperà di cyber security insieme al prof. Corrado Giustozzi,  nel corso della III giornata del 2° modulo, in programma per il prossimo 23 aprile.
Per info e iscrizioni, consultate la pagina ufficiale del corso al seguente link.